BIOLOAD, el cargador de malware

Investigadores de malware han descubierto una nueva herramienta utilizada por el grupo cibercriminal con motivación financiera conocido como FIN7 para cargar construcciones más frescas de la puerta trasera de Carbanak.

Apodado BIOLOAD, el cargador de malware tiene una baja tasa de detección y comparte similitudes con BOOSTWRITE, otro cargador recientemente identificado como parte del arsenal de FIN7.

Abusar de los métodos legítimos de Windows

El malware se basa en una técnica llamada plantación binaria  que abusa de un método utilizado por Windows para buscar las DLL necesarias para cargar en un programa. Por lo tanto, un atacante puede aumentar los privilegios en el sistema o lograr la persistencia.

La plataforma de seguridad de punto final enSilo de Fortinet bloqueó cargas maliciosas en procesos legítimos de Windows. Más precisamente, detectó una DLL maliciosa en FaceFodUninstaller.exe que existe en instalaciones limpias del sistema operativo a partir de Windows 10 1803.

"Lo que hace que este ejecutable sea aún más atractivo a los ojos de un atacante es el hecho de que se inicia desde una tarea programada incorporada llamada FODCleanupTask, minimizando así la huella en la máquina y reduciendo las posibilidades de detección aún más" - Fortinet

El atacante coloca el WinBio.dll malicioso en la carpeta "\ System32 \ WinBioPlugIns", que es el hogar de la DLL legítima 'winbio'.



Fortinet encontró similitudes entre BIOLOAD y BOOSTWRITE, un cuentagotas en memoria analizado previamente por FireEye . Esto es característico para ambos, al igual que tener una DLL de carga útil cifrada incrustada.

Similar al cargador FIN7 más nuevo

Según el análisis de Fortinet, las muestras de BIOLOAD se compilaron en marzo y julio de 2019, mientras que la fecha de BOOSTWRITE es de mayo.

Los investigadores también notaron algunas diferencias. Una es que BIOLOAD no admite múltiples cargas útiles; otro es el uso de XOR para descifrar la carga útil en lugar del cifrado ChaCha.

La conexión a un servidor remoto para la clave de descifrado tampoco ocurre con BIOLOAD porque está personalizada para cada sistema víctima y deriva la clave de descifrado de su nombre.

A pesar de la fecha de compilación de nueve meses, la detección de BIOLOAD no se detecta en gran medida. Al momento de escribir esto, solo nueve de los 68 motores antivirus en la  plataforma de escaneo VirusTotal reconocen el WinBio.dll como malicioso.



En cuanto a la carga útil caída en los sistemas comprometidos, es una versión más nueva de la puerta trasera Carbanak, con marcas de tiempo de enero y abril de 2019.

Un cambio significativo en estas muestras es que buscan más soluciones antivirus que se ejecuten en las máquinas infectadas que las anteriores, que solo buscaron Kaspersky, AVG y TrendMicro.

Según las similitudes de código, las técnicas y la puerta trasera utilizada, Fortinet atribuye BIOLOAD al grupo de ciberdelincuencia FIN7. Según las fechas de compilación del malware y su comportamiento, los investigadores creen que este cargador es un precursor de BOOSTWRITE.

El malware identificado por los investigadores muestra que FIN7 está desarrollando activamente herramientas para eliminar sus puertas traseras. Si bien BIOLOAD se usó para cargar Carbanak en un host infectado, el cargador BOOSTWRITE más reciente también se usó para entregar RDFSNIFFER, una herramienta de acceso remoto "para secuestrar instancias de la aplicación NCR Aloha Command Center Client e interactuar con los sistemas de las víctimas a través de sesiones 2FA legítimas existentee.

Vía: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta